WindowsXP組策略操作

1、你可以在采用windows xp、2000和server 2003操作系統(tǒng)的本地計算機上使 用這些方法，或者在server 2003和2000中的ou域名級上使用這些方法。為 了簡明扼要和提供最新的信息，我準備介紹一下如何設置基于windows server 2003的域名。請記住，這些只是你在你的域名中能夠設置的組策略對象中最有 可能出現(xiàn)問題的。按照我的觀點，這些設置可以保持或者破壞windows的安全。 而且由于設置的不同，你的進展也不同。因此，我鼓勵你在使用每一個設置之前 都進行深入的研究，以確保這些設置能夠兼容你的網(wǎng)絡。如果有可能的話，對這 些設置進行試驗（如果你很幸運有一個測試環(huán)境的

2、話）。如果你沒有進行測試，我建議你下載和安裝微軟的組策略管理控制臺（gpmc） 來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全 面地查看你的域名。要開始這個編輯流程，你就上載gpmc,擴展你的域名， 用鼠標右鍵點擊“缺省域名策略”，然后選擇“編輯”。這樣就裝載了組策略對象編 輯器。如果你要以更快的速度或者“次企業(yè)級”的方式編輯你的域名組策略對象， 你可以在“開始”菜單中運行“gpedit.msc”。確定一個缺省的口令策略，使你的機構設置位于“計算機配置/windows設置 /安全設置/賬號策略/ 口令策略”之下。2. 為了防止自動口令破解，在“計算機配置/windows

3、設置/安全設置/賬號策略/ 賬號關閉策略”中進行如下設置：賬號關閉持續(xù)時間（確定至少5-10分鐘）賬號關閉極限（確定最多允許5至10次非法登錄）隨后重新啟動關閉的賬號（確定至少10-15分鐘以后）3在“計算機配i/windows設置/安全設置/本地策略/檢查策略”中啟用如下功檢查賬號管理檢查登錄事件檢查策略改變檢查權限使用檢查系統(tǒng)事件理想的情況是，你要啟用記錄成功和失敗的登錄。但是，這取決于你要保留什 么類型的記錄以及你是否能夠管理這些記錄。roberta bragg在這里介紹了一些 普通的檢查記錄設置。要記住，啟用每一種類型的記錄都需耍你的系統(tǒng)處理器和 硬盤提供更多的資源。4作為增強wind

4、ows安全的最佳做法和為攻擊者設置更多的障礙以減少對 windows的攻擊，你可以在“計算機配置/windows設置/安全設置/本地策略/安全 選項”中進行如下設置：賬號:重新命名管理員賬號-不是要求更有效而是增加一個安全層（確定一個 新名字）賬號:重新命名客戶賬號（確定一個新名字）交互式登錄:不要顯示最后一個用戶的名字（設置為啟用）交互式登錄:不需要最后一個用戶的名字（設置為關閉）交互式登錄：為企圖登錄的用戶提供一個消息文本（確定為讓用戶閱讀 banner text（旗幟文木），內(nèi)容大致為“這是專用和受控d勺系統(tǒng)。如果你濫用本系統(tǒng)，你將受到制裁。-首先讓你的律師運行這個程序）交互式登錄：為企

5、圖登錄的用戶提供的消息題目-在警告!后面寫的東西網(wǎng)絡接入:不允許sam賬號和共享目錄（設置為“啟用”）網(wǎng)絡接入:將“允許每一個人申請匿名用戶”設置為關閉網(wǎng)絡安全:“不得存儲局域網(wǎng)管理員關于下一個口令變化的散列值”設置為“啟 用”關機允許系統(tǒng)在沒有登錄的情況下關閉”設置為咲閉”關機:“清除虛擬內(nèi)存的頁面文件”設置為“啟用”如果你沒有windows server 2003域名控制器，你在這里可以找到有哪些 windows xp本地安全設置的細節(jié)，以及這里有哪些詳細的windows 2000 server組策略的設置。要了解更多的有關windows server 2003組策略的信息, 請查看微軟的

6、專門網(wǎng)頁。卜一、如何設置ie中的安全設置選項按鈕? 問:我在windows 2000桌面右擊ie圖標并選擇“屈性”，選擇了'安全”標簽后， 發(fā)現(xiàn)“自定義級別”和“默認級別”按鈕變成灰色不可選狀態(tài)，無法改變ie的安全等 級。請問該如何解決？答:出現(xiàn)這個問題的原因是系統(tǒng)在注冊表中添加了 一個“secchangesettings” 鍵進行了限制。請打開注冊表編輯器，找到hkey_current_usersoftwarepoliciesmicrosoftlnternet explorercontrol panel,將右側窗口屮的“secchangesettings”鍵刪除后，重啟 ie即可解決

7、問題。十二、fat32轉換為ntfs如果要使用文件訪問權限，文件述必須位于ntfs文件系統(tǒng)的分區(qū)上。跟fat 和fat32文件系統(tǒng)相比，ntfs文件系統(tǒng)可以在保持簇大小不變的情況下支持 更大的分區(qū)，還有一系列的安全特性，建議使用。不過dos和windows 9x操 作系統(tǒng)并不能支持這種文件系統(tǒng)。有兩種方法獲得ntfs文件系統(tǒng)的分區(qū)：創(chuàng) 建一個分區(qū)，然后格式化為ntfs文件系統(tǒng)；或者把現(xiàn)有的fat或者fat32文 件系統(tǒng)的分區(qū)在保留數(shù)據(jù)的前提下轉化為ntfs文件系統(tǒng)。這個轉化可以使用 windows自帶的convert.exe程序，在命令行狀態(tài)下輸入“convert c:/fs:ntfs”并回

8、車就可以把c盤轉換，其他盤需要替換c為相應的盤符。另外要注意，轉換系 統(tǒng)盤可能需要你重啟動系統(tǒng)才能完成。十三、用組策略從十大方面保護windows安全windows操作系統(tǒng)中組策略的應用無處不在，如何讓系統(tǒng)更安全，也是一個常 論不休的話題，下面就讓我們一起來看看通過組策略如何給windows系統(tǒng)練就 一身金鐘罩。一、給我們的ip添加安全策略在“計算機配置”wndows設置“安全設置”->“ip安全策略，在本地訃算 機”下與有與網(wǎng)絡有關的幾個設置項目（如圖1）o如果大家對internet較為熟悉， 那也可以通過它來添加或修改更多的網(wǎng)絡安全設置，這樣在windows上運行網(wǎng) 絡程序或者暢游i

9、nternet時將會更加安全。小提示：由于此項較為專業(yè)，其間會涉及到很多的專業(yè)概念，一般用戶用 不到，在這里只是給網(wǎng)絡管理員們提個醒，因此在此略過。二、隱藏驅動器平時我們隱藏文件夾后，別人只需在文件夾選項里顯示所有文件，就可以看 見了，我們可以在組策略里刪除這個選項：選擇“用戶配置- 管理模板-windows 組件-windows資源管理器”。三、禁用指定的文件類型在“組策略”中，我們可以禁用shs、msi、bat、cmd、com、exe等程 序文件類型，而ii不影響系統(tǒng)的正常運行。這里假設我們要禁用注冊表的reg 文件，不讓系統(tǒng)運行reg文件，具體操作方法如下：1. 打開組策略，點擊“計算機

10、配置-windows設置-安全設置-軟件限制策 略”，在彈出的右鍵菜單上選擇“創(chuàng)建軟件限制策略”，即牛成“安全級別”、“其他規(guī) 則”及“強制”、“指派的文件類型”、慢信任的出版商”項。2. 雙擊“指派的文件類型”打開“指派的文件類型屬性”窗口，只留下reg文 件類型，將其他的文件全部刪除，如果還有其他的文件類型要禁用，可以再次打 開這個窗口，在:文件擴展名”空白欄里輸入要禁用的文件類型，將它添加上去。3. 雙擊“安全級別一不允許的”項，點擊“設為默認”按鈕。然后注銷系統(tǒng)或者 重新啟動系統(tǒng)，此策略即生效，運行reg文件時，會提示“由于一個軟件限制策 略的阻止，windows無法打開此程序”。4要

11、取消此軟件限制策略的話，雙擊“安全級別-不受限的”，打幵'不受限的 屈性”窗口，按“設為默認值”即可。如果你鼠標右鍵點擊“計算機配置-windows設置-安全設置-軟件限制策 略一其他規(guī)則”，你會看到它可以建立哈希規(guī)則、internet區(qū)域規(guī)則、路徑規(guī)則 等策略，利用這些規(guī)則我們可以讓系統(tǒng)更加安全，比如利用“路徑規(guī)則”可以為電 子郵件程序用來運行附件的文件夾創(chuàng)建路徑規(guī)則，并將安全級別設置為“不允許 的”，以防止電子郵件病毒。提示：為了避免“軟件限制策略”將系統(tǒng)管理員也限制，我們可以雙擊“強制”, 選擇“除本地管理員以外的所有用戶”。如果用你的是文件類型限制策略，此選項 可以確保管理員有

12、權運行被限制的文件類型，而其他用戶無權運行。四、未經(jīng)許可，不得在木機登錄使用電腦時，我們有時要離開座位一段時間。如果有很多正在打開的文檔還 沒有處理完成或者正在下載東四、掛popo等等，為了避免有人動用電腦，我 們一般會把電腦鎖定。但是在局域網(wǎng)中，為了方便網(wǎng)絡登錄，我們有時候會建立 一些來賓賬戶，如果對方利用這些賬戶來注銷當前賬戶登錄到別的賬戶，那就麻 煩了。既然我們不能刪除或禁用這些賬戶，那么我們可以通過“組策略”來禁止一 些賬戶在本機上登錄，讓對方只能通過網(wǎng)絡登錄。在“組策略”窗口中依次打開“計算機配置-windows設置一安全設置一本地 策略用戶權限分配”，然后雙擊右側窗格的“拒絕本地登

13、錄”項，在彈出的窗口屮 添加要禁止的用戶或組即可實現(xiàn)。如果我們想反其道而行之，禁止用戶從網(wǎng)絡登錄，只能從本地登錄，可以雙擊“拒 絕從網(wǎng)絡訪問這臺計算機”項將用戶加上去。五、給“休眠”和“待機''加個密碼只有“屏幕保護，有密碼是遠遠不夠安全的，我們還要給“休眠”和“待機,加上密 碼，這樣才會更安全。讓我們來給“休眠”和“待機”加上密碼吧。在“組策略”窗口屮 展開“用戶配置-管理模板-系統(tǒng)-電源管理”，在右邊的窗格中雙擊“從休眠/掛 起恢復時提示輸入密碼”，將其設置為“已啟用”（圖5）,那么當我們從“待機”或“休 眠”狀態(tài)返回時將會要求你輸入用戶密碼。六、自動給操作做個記錄在“計算

14、機配置-windows設置一安全設置一木地策略一審核策略”上，我們 可以看到它可以審核策略更改、登錄事件、對象訪問、過程追蹤、目錄服務訪問、 特權使用等（圖6）o這些審核可以記錄下你某年某月某口某時某分某秒做過了什 么操作：幾時登錄、關閉系統(tǒng)或更改過哪些策略等等。我們應該養(yǎng)成經(jīng)常在“控制面板一 管理工具一 事件查看器”里查看事件的好 習慣。比如，當你修改過“組策略”后，系統(tǒng)就發(fā)生了問題，此時“事件查看器”就 會及時告訴你改了哪些策略。在“登錄事件”里，你可以查看到詳細的登錄事件， 知道有人曾嘗試使用禁用的賬戶登錄、誰的賬戶密碼已過期而要啟用哪些審 核，只要雙擊相應的項目，選中“成功”和“失敗”

15、兩個選項即可。注意：windows xp home edition 沒有“組策略”，只有 windows xp professional版本才有“組策略”，這一點注意。七、限制ie瀏覽器的保存功能當多人共用一臺計算機時，為了保持硬盤的整潔，需要對瀏覽器的保存功能進 行限制使用，那么如何才能實現(xiàn)呢？具體方法為：選擇“用戶設置管理模 板 jwindows組件"-/internet explorer j瀏覽器菜單”分支。雙擊右側窗格中 的“'文件'菜單：禁用'另存為'菜單項”，在打開的設置窗口中選中“已啟用”單選 按鈕（如圖7）。提示：我們述可以對“'

16、;文件'菜單：禁用另存為網(wǎng)頁菜單項”、“'查看'菜單：禁 用'源文件'菜單項”和“禁用上下文菜單”等策略項目進行修改，這樣我們的ie將會 安全一些。八、禁止修改ie瀏覽器的主頁如果您不希望他人或網(wǎng)絡上的一些惡意代碼對自己設定的ie瀏覽器主頁進行 隨意更改的話，我們可以選擇“用戶配置”-“管理模板”-“windows組 件"-/internet explorer*'分支，然后在右側窗格中，雙擊嗓用更改主頁設置”策略 啟用即可。(1) 在圖&述提供了更改歷史記錄設置、更改顏色設置和更改internet臨時文 件設置等項目的禁用功能。

17、如果啟用了這個策略，在ie瀏覽器的“internet選項” 對話框中，其“常規(guī)選項卡的“主頁”區(qū)域的設置將變灰。(2) 如果設置了位于“用戶配置j“管理模板"windows組件"internet explorer”internet控制面板”中的“禁用常規(guī)頁”策略，則無需設置該策略，因 為“禁用常規(guī)頁”策略將刪除界面上的“常規(guī)選項卡。(3) 逐級展幵'用戶設置管理模板”windows組伴'-/internet explorer”分 支，我們可以在其下發(fā)現(xiàn)“internet控制面板”、“脫機頁”瀏覽器菜單”、“工具欄”、 “持續(xù)行為”和“管理員認可的控件”等策略

18、選項。利用它可以充分打造一個極有個 性和安全的ieo九、把administrator藏起來windows系統(tǒng)默認的系統(tǒng)管理員賬戶名是administrator。因此，為了避免 有人惡意破解系統(tǒng)管理員administrator賬戶的密碼，我們可以將administrator 改為其他名字以加強安全。點擊“開始一運行”，輸入gpedit.msc,打開“組策略”, 如圖9所示，選擇“計算機配置-windows設置一安全設置-本地策略一安全選 項”，在右邊窗格里雙擊“賬戶：重命名系統(tǒng)管理員賬戶”項，在上面輸入你想要的 用戶名。重新啟動計算機后，輸入的新用戶名即刻生效。如果再新建一個guest 用戶，用

19、戶名為administrator,然后再加上十分復雜的密碼就更安全。提示：為了避免讓人在windows的登錄框中看到曾經(jīng)登錄過的用戶名，就 要雙擊“交互式登錄：不顯示上次的用戶名”子項，選擇“已啟用”將該策略啟用。 這樣上次登錄到計算機的用戶名就不會顯示在windows的登錄畫面中。十禁用ie組件自動安裝選擇“計算機配置 j“管理模板"-/windows組件 j“l(fā)nternet explorer”項目， 雙擊右邊窗口中“禁用internet explorer組件的自動安裝”項目，在打開的窗口中 選擇“己啟用”單選按鈕(如圖10),將會禁止internet explorer自動安裝組

20、件。這 樣可以防止internet explorer在用戶訪問到需要某個組件的網(wǎng)站時下載該組 件，篡改ie的行為也會得到遏制!相對來說ie也會安全許多！小提示如果禁用該策略或不對其進行配置，則用戶在訪問需要某個組件的網(wǎng)站時，將 會收到一則消息，提示用戶下載并安裝該組件。有時用戶看也不看就選擇“安裝” 則往往會出問題。網(wǎng)上的很多惡意代碼往往都是這樣工作的。十四、windows 2000安全檢查清單在網(wǎng)上偶爾看到這篇關于window 2000安全的問題，雖然有點老了，但覺得還 是挺實用的，于是就轉過來了，希望大家有所幫助。注意：很多操作請不要在服 務器上直接嘗試，因為操作不當可能會引起服務器很多功

21、能出錯或無法使用，建 議您在個人的機器上操作成功后再試。51windows（海娃）前段時間，中美網(wǎng)絡大戰(zhàn)，我看了一些被黑的服務器，發(fā)現(xiàn)絕人部分被黑的服 務器都是nvwin2000的機器，真是慘不忍睹。windows2000真的那么不安全 么？其實，windows2000含有很多的安全功能和選項，如果你合理的配置它們, 那么windows 2000將會是一個很安全的操作系統(tǒng).我抽空翻了一些網(wǎng)站，翻譯 加湊數(shù)的整理了一篇checklist tb來。希望對win2000管理員有些幫助。木文并 沒有什么高深的東西，所謂的清單，也并不完善，很多東西要等以后慢慢加了， 希望能給管理員作一參考。具體清單如下

22、：初級安全篇1 物理安全服務器應該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并h監(jiān)視器要保留15天以上的 攝像記錄。另外，機箱,鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也 無法使用電腦，鑰匙要放在另外的安全的地方。2. 停掉guest帳號在計算機管理的用戶里面把guest帳號停用掉，任何吋候都不允許guest帳號登 陸系統(tǒng)。為了保險起見，最好給guest加一個復雜的密碼，你可以打開記事本, 在里面輸入一串包含特殊字符,數(shù)字，字母的長字符串，然后把它作為guest帳 號的密碼拷進去。3 限制不必要的用戶數(shù)量 去掉所有的duplicate user帳戶，測試用帳戶，共享帳號，普通部門帳號等等。 用戶組

23、策略設置相應權限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不在使用的帳戶。 這些帳戶很多吋候都是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到 合法用戶的權限可能性一般也就越大。國內(nèi)的nt/2000主機，如果系統(tǒng)帳戶超過 10個，一般都能找出一兩個弱口令帳戶。我曾經(jīng)發(fā)現(xiàn)一臺主機197個帳戶中竟 然有180個帳號都是弱口令帳戶。4. 創(chuàng)建2個管理員用帳號雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規(guī)則的。創(chuàng)建一個 一般權限帳號用來收信以及處理一些日常事物，另一個擁有administrators權 限的帳戶只在需要的時候使用。可以讓管理員使用“runas”命令來執(zhí)行一些 需要特權才能作的一些

24、工作，以方便管理。5. 把系統(tǒng)administrator帳號改名大家都知道，windows 2000的administrator帳號是不能被停用的，這意味著 別人可以一遍又一邊的嘗試這個帳戶的密碼。把administrator帳戶改名可以有 效的防止這一點。當然，請不要使用admin z類的名字，改了等于沒改，盡量 把它偽裝成普通用戶，比如改成：guestone。6. 創(chuàng)建一個陷阱帳號什么是陷阱帳號？ look!創(chuàng)建一個名為” administrator”的本地帳戶，把它的權限 設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。 這樣可以讓那些scripts s忙上一段時

25、間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖。 或者在它的login scripts上面做點手腳。嘿嘿，夠損！7. 把共享文件的權限從”everyone”組改成“授權用戶”“everyone”在win2000中意味著任何有權進入你的網(wǎng)絡的用戶都能夠獲得這些 共享資料。任何時候都不要把共享文件的用戶設置成”everyone”組。包括打印共 享，默認的屬性就是”everyone”組的，一定不要忘了改。&使用安全密碼一個好的密碼對于一個網(wǎng)絡是非常重要的，但是它是最容易被忽略的。前面的所 說的也許已經(jīng)可以說明這一點了。一些公司的管理員創(chuàng)建帳號的時候往往用公司 名，計算機名，或者一些別的一猜就到的東西做

26、用戶名，然后又把這些帳戶的密 碼設置得n簡單，比如“welcome” “iloveyou” “l(fā)etmein”或者和用戶名相同等等。 這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼，還要注意經(jīng)常更改 密碼。前些天在irc和人討論這一問題的時候，我們給好密碼下了個定義：安 全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼文 檔，必須花43天或者更長的時間才能破解出來，而你的密碼策略是42天必須 改密碼。9 設置屏幕保護密碼很簡單也很有必要，設置屏幕保護密碼也是防止內(nèi)部人員破壞服務器的一個屏 障。注意不要使用opengl和一些復雜的屏幕保護程序，浪費系統(tǒng)資源，讓他 黑屏就

27、可以了。還有一點，所有系統(tǒng)用戶所使用的機器也最好加上屏幕保護密碼。10. 使用ntfs格式分區(qū)把服務器的所有分區(qū)都改成ntfs格式。ntfs文件系統(tǒng)要比fat,fat32的文 件系統(tǒng)安全得多。這點不必多說，想必大家得服務器都己經(jīng)是ntfs的了。11. 運行防毒軟件我見過的win2000/nt服務器從來沒有見到有安裝了防毒軟件的，其實這一點非 常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后 門程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘 了經(jīng)常升級病毒庫12. 保障備份盤的安全一旦系統(tǒng)資料被破壞，備份盤將是你恢復資料的唯一途徑。備份完資料后，把備

28、 份盤防在安全的地方。千萬別把資料備份在同一臺服務器上，那樣的話，還不如 不要備份。中級安全篇：1. 利用win2000的安全配置工具來配置策略微軟提供了一套的基于mmc（管理控制臺）安全配置和分析工具，利用他們你可 以很方便的配置你的服務器以滿足你的要求。具體內(nèi)容請參考微軟主頁：2. 關閉不必要的服務windows 2000 的 terminal services （終端服務），iis ,和 ras 都可能給你的 系統(tǒng)帶來安全漏洞。為了能夠在遠程方便的管理服務器，很多機器的終端服務都 是開著的，如果你的也開了，要確認你已經(jīng)正確的配置了終端服務。有些惡意的 程序也能以服務方式悄悄的運行。要留意

29、服務器上面開啟的所有服務，中期性（每 天）的檢查他們。下面是c2級別安裝的默認服務：computer browser service tcp/ip netbios helpermicrosoft dns server spoolerntlm ssp serverrpc locator winsrpc service workstation netlogon eve nt log3. 關閉不必要的端口關閉端口意味著減少功能，在安全和功能上面需要你作一點決策。如果服務器安 裝在防火墻的后面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。 用端口掃描器掃描系統(tǒng)所開放的端口，確定開放了哪些服務是黑客入侵你的系統(tǒng) 的第一步。system32driversetcservices文件中有知名端口和服務的對照表可 供參考。具體方法為：網(wǎng)上鄰居屬性木地連接屬性internet協(xié)議(tcp/ip)屬性高級選項tcp/ip 篩選屬性打開tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。4. 打開審核策略開啟安全審核是win2000最基木的入侵檢測方法。當有人